DPO as a service

DPO é a sigla para Data Protection Officer. Trata-se do termo em inglês utilizado para endereçar o encarregado de proteção de dados pessoais. O termo ganhou popularidade pois é utilizado no GDPR (regulamento europeu de proteção de dados) que inspirou diretamente a nossa legislação.

Segundo a LGPD, todas as organizações que realizam o tratamento de dados pessoais devem indicar um encarregado de proteção de dados. Em alguns casos, conforme orientação da ANPD, pequenas empresas que não tratam dados em excesso podem indicar apenas um canal de comunicação, mas a própria Autoridade recomenda a indicação de encarregado até para estas empresas.

Tratamento de dados pessoais é o termo atribuído a qualquer operação que seja realizada com dados pessoais, como coleta, armazenamento, arquivamento, transferência, processamento, compartilhamento, utilização, acesso, transmissão, difusão, eliminação, entre outros. Basicamente, qualquer atividade relativa a dados pessoais é considerada tratamento.

O DPO pode ser nomeado a qualquer momento, mas é importante reforçar que sua presença em uma organização já é necessária nos termos da lei. Apesar disso, os momentos ideais para a indicação de um DPO são antes ou durante o processo de adequação da empresa à LGPD. Isso porque, dessa forma, o DPO pode tomar parte no processo e conhecer de maneira mais eficiente o funcionamento da organização como um todo, exercendo suas atribuições com maior antecedência.

Sim, o DPO pode ser alguém que já compõe a equipe de uma organização. Contudo, como se espera que o DPO preze pela constante educação da equipe, realize relatórios de impacto à proteção de dados e faça as comunicações devidas com a ANPD, é importante que seja alguém apto para cumprir essas atribuições. Isso significa que é necessário um conhecimento profundo sobre o ambiente regulatório e as melhores práticas sobre privacidade e proteção de dados pessoais.

Não, a nomeação de um DPO constitui uma etapa importante na adequação de uma empresa à LGPD, mas apenas isso não basta para que a organização esteja adequada a lei. É necessário realizar um processo de adequação completo, após o qual será tarefa do DPO manter a adequação da empresa ao longo do tempo.

O DPO atua como um conselheiro dentro da organização, elaborando pareceres e relatórios sobre as práticas de tratamento de dados pessoais realizadas na empresa. Contudo, o DPO não pode ser responsabilizado por repercussões negativas relativas a proteção de dados que ocorrerem durante o exercício regular e adequado de suas atribuições profissionais. Caso seja constatado que o DPO atuou de maneira imprudente, é possível responsabilizá-lo pelas consequências de causou à organização.

Parte significativa das atribuições do DPO consiste em informar à organização que há irregularidades na forma como dados pessoais são tratados em suas atividades. Tendo isso em vista, é importante que o DPO tenha independência dentro da empresa para realizar suas avaliações e relatórios. Além disso, é essencial que o DPO não sofra consequências em decorrência do mero exercício de suas atribuições profissionais (o DPO não pode ser demitido por apontar falhas no tratamento de dados da empresa).

A Lei entrou em vigor em 2019 e, várias empresas já estão sendo fiscalizadas pela Autoridade Nacional de Proteção de Dados (ANPD). Adicionalmente, nossa Constituição Federal foi modificada para incluir a proteção de dados pessoais dos cidadãos como direito fundamental, o que possibilita o Poder Judiciário condenar as empresas que não cumprem a lei. Por esses motivos, sugerimos a devida atenção por parte das empresas que quiserem evitar possíveis repercussões negativas, seja reputacional, ou fina